Николасом Вайсманом из компании Immunity была найдена ошибка в реализации службы WINS, которая используется в архитектуре NetBIOS как служба имен. Ошибка позволяет удаленно исполнять код, направив на 42-й порт компьютера специально подготовленный пакет WINS. Сведения об ошибке Вайсман передал в Microsoft еще в мае этого года, однако до сих пор исправлений от производителя выпущено не было, и исследователь решил обнародовать информацию о найденной ошибке. Кроме того, для другой ошибки Windows появился эксплойт, который позволяет исполнить код с помощью zip-архива. Ошибка, на которую рассчитан данный эксплойт, была найдена Eeye Digital Security и исправлена Microsoft. Публикация эксплойта может спровоцировать появление вирусов, интегрированных в zip-архивы и активизирующихся при работе с ними с помощью Windows Explorer. Поэтому без установки обновлений не рекомендуется пользоваться Windows Explorer для работы с zip-архивами.

Оригинал на OSP: www.osp.ru/news/soft/2004/12/03_01.htm

Стефан Эссер (Stefan Esser), исследователь из компании e-matters GmbH, обнаружил ошибку в продукте Samba 3.0 - 3.0.7, который является свободно распространяемой реализацией сервисов сетевого хранения и печати для разработанного Microsoft протокола SMB. Оказалось, что в Samba при использовании символов Unicode не правильно определяется длинна имени файла. Эта ошибка позволяет сформировать специальное имя файла, которое вызовет изменение системы управления памятью при запросе TRANSACT2_QFILEPATHINFO. Данный дефект позволяет исполнить любой код на уязвимой системе, хотя для этого у атакующего должно быть разрешение на запись в файловую систему, расположенную на сервере. Ошибка была найдена Стефаном 24 сентября и на следующий день была исправлена разработчиками, а 8 ноября защита от нее была внесена в очередной выпуск Samba.

На OSP не опубликован

Безопасность безопасников
Статья по пресс-данчу с "Информзащитой", где руководство компании сомнивается в полезности "общих критериев".

Пароля недостаточно
Статья по пресс-конференции DSA Security и "МОНТ" о выпуске на российский рынок технологии двухфакторной аутентификации от RSA.

Объединенными усилиями
Статья про выпуск на российский рынок дистрибутива Red Hat, для чего создан альянс с VDEL, R-Style и Московским физико-техническим институтом.

«Сетевая кухня» IDF
Статья про беспроводную сеть российского IDF, написанная со слов техников из "Р.М. Телеком", которые ставили эту сеть.

Стандарты без проводов
Статья про построение беспроводных сетей на основе материала семинара компании Discom NT.

Планшетная русификация
Статья по выпуску распознавалки русского рукописного ввода, который разрабоатала компания "Кварта Технологии". На этой прецентации я выиграл планшетный компьютер!

В продуктах Microsoft ISA Server 2000 и Proxy Server 2.0 обнаружена ошибка, могущая возникнуть при кэшировании обратного DNS-запроса. Этот дефект позволяет злоумышленнику так составить запись, указывающую его DNS-сервер, что при ее кэшировании будут изменены другие записи. Это позволяет подменять адреса легитимных сайтов для получения личной информации или обмана посетителей. Тем не менее атака не позволяет подделать сертификат сервера при установлении SSL-соединения, поэтому нужно внимательно следить за корректностью информации, указанной в сертификате. Microsoft выпустила обновления для обоих указанных продуктов, устраняющие найденные дефекты.

Оригинал на OSP: www.osp.ru/news/comm/2004/11/12_03.htm

Появились две модификации старого вируса: Mydoom.AH и Mydoom.AG. Они используют найденную недавно ошибку, которая возникает в Internet Explorer при обработке тегов IFRAME. Вирусы практически ничем не отличаются друг от друга. Они активируются при переходе по ссылкам, содержащимся в почтовом сообщении. Проникая в систему, вирусы пытаются сделать себя невидимым, запускаясь в качестве высокоприоритетных процессов. Черви пытаются саморассылаться по всем найденным в системе адресам, а также открывают 1639 порт TCP для приема команд и могут получать инструкции с некоторых IRC-серверов. Поскольку вирусы построены на публично доступном эксплойте, антивирусы их распознают. Большого распространения они пока не получили и заражения регистрируются в основном в США. Однако ошибка, используемая ими, до сих пор не исправлена Microsoft, поэтому временно не рекомендуется использовать стандартные почтовые клиенты Outlook или хотя бы не переходить по непроверенным ссылкам в тексте сообщений.

Оригинал на OSP: www.osp.ru/news/comm/2004/11/12_02.htm

Мои сттьи

«Комстар» без проводов
Статья про инициативу "Комстар Wi-Fi", в рамках которой "Комстар" планирует построить 200 зон радио-доступа.

Конкурс Java-приложений
Статьи по процедуре награждения победителей конкурса Java-приложений, который провела компания Ericsson.

Бороться нельзя смириться
Статья по конференции "Антиспам", организованной Игорем Ашмановым.

В компании Commtouch проанализировали сотни тысяч сообщений, передаваемых по электронной почте в первые три недели сентября, и обнаружили, что количество спама за месяц несколько снизилось. В то же время по данным этой компании в сентябре уже 8,87% общего объема спама соответствовало закону CAN-SPAM Act. Однако компания сосредоточила свои исследования на том, откуда спам распространяется. Победили в этом рейтинге США, которые рассылают 34,70% спама, за ними идут Южная Корея (21,88%) и Китай (13,25%). Всего же спам рассылается из 166 стран. В то же время по сайтам, которые рекламируются в спаме рейтинг прямо противоположный: на первом месте Китай (67,901%), затем Южная Корея (11,83%) и США (10,86%). Сайты, рекламируемые с помощью спама, располагаются в 45 странах. Россия не входит ни в первую, ни во вторую десятку этого рейтинга.

Оригинал на OSP: www.osp.ru/cw/2004/40/000_31.htm

Фонд разработчиков Apache Software Foundation объявил о выходе новой версии популярного и бесплатного средства защиты от спама SpamAsassin. Версия 3.0 включает в себя поддержку технологии SPF, поддерживает хранение белых и черных списков в базе данных SQL. Ранее Apache Software Foundation заявил о невозможности поддержки технологии Caller ID, предложенной Microsoft, из-за проблем с ее лицензированием. Однако наиболее серьезные изменения коснулись лицензии. Ранее этот продукт распространялся под двумя типами лицензий GPL и Perl Artistic License, а версия 3.0 будет распространяться под Apache License. Для смены лицензии создателям SpamAsassin пришлось договариваться со всеми разработчиками.

Оригинал на OSP: www.osp.ru/cw/2004/40/000_30.htm

Владельцы крупных мировых почтовых систем AOL, Yahoo, Hotmail, Earthlink и Comcast объявили, что не будут принимать большие объемы почтовых сообщений от тех пользователей Internet, у которых не будет реализована проверка отправителя с помощью технологии SPF или Sender ID. Эта мера должна блокировать распространение спама и обманных писем, которые часто посылаются с захваченных компьютеров, и поэтому не имеют корректно сформулированной SPF-политики. Для поддержки одной из перечисленных технологий достаточно добавить в DNS-запись специальное поле. По мнению экспертов, такие ограничения не скажутся на работе обычных пользователей с правильной конфигурацией почтовых клиентов. Администраторам корпоративных сетей придется подстраивать свои системы. Введение такими игроками ограничений на прием писем может сильно изменить конфигурацию рынка спама.

Оригинал на OSP: www.osp.ru/cw/2004/40/000_29.htm

Вышло обновление программы SpamPal 1.583, которая является модулем для защиты от спама для почтовых клиентов Outlook Express, Outlook, The Bat! и Eudora. Программа помечает спам и откладывает его в отдельную папку, пользуясь для определения спама черными списками. Новые списки адресов, которые часто используются спамерами для рассылок, можно закачивать через Internet. Обновления в основном связаны с устранением некоторых ошибок, найденных в процессе бета-тестирования версии 1.641.

Оригинал на OSP: www.osp.ru/cw/2004/40/000_28.htm

Мы уже писали о множественных ошибках в альтернативных браузерах, которые были найдены с помощью разработанного Михалом Залевски генератора некорректного HTML-кода (http://www.osp.ru/news/soft/2004/10/25_01.htm). Он утверждал, что Internet Explorer устоял перед всеми атаками на него, зато все остальные браузеры часто выходили из строя. Написанный Михалом и распространенный код привел-таки к результату - была найдена всего одна ошибка в IE, которая состояла в неправильной обработке тегов IFRAME и EMBED. Эта ошибка позволяет злоумышленнику сделать Web-ловушку для исполнения произвольного кода с помощью IE. Через несколько дней после публикаций данной информации уже был выпущен пример кода, который может запустить на системе неосторожного посетителя Web троянскую программу, открывающую удаленный доступ к компьютеру через порт 28876. Исправлений для ошибки нет, но она не проявляется в Windows XP SP2. Так что Microsoft достаточно один раз ошибиться, чтобы привлечь внимание хакерского сообщества.

Оригинал на OSP: www.osp.ru/news/soft/2004/11/11_03.htm

Мои статьи

«Карманники» — программистам
Статья про конкурс HP программ для iPaq.

Пять лет на бирже
Статья о пресс-конференции Golden Telecom, на которой они рассказывали как выходили на Nasdaq.

Мультимедийный середнячок
Новый продукт от Avaya - мультимедийный контакт центр для малых предприятий.

Компания Red Hat объявила, что неизвестными хакерами рассылаются письма с поддельными сообщениями об ошибках в утилитах ls и mkdir. В сообщениях содержится предложение скачать обновления, а в качестве обратного адрес указан security@redhat.com. В то же время по указанной ссылке расположена троянская программа, которая атакует систему жертвы после запуска. Компания Red Hat предупреждает, что свои сообщения о проблемах с безопасностью она рассылает только с адреса secalert@redhat.com и подписывает их PGP-ключом. Кроме того, сами пакеты исправлений, рассылаемые Red Hat подписываются специальным ключом, действенность которого можно проверить с помощью команды rpm --checksig -v filename.rpm, набранной в консоли. Все открытые ключи для проверки подписи рекомендуется смотреть на самом сайте www.redhat.com/security/team/key.html.

Оригинал на OSP: www.osp.ru/news/comm/2004/10/29_02.htm
От имени Red Hat

Исследователь познаньского суперкомпьютерного центра Адам Годек (Adam Gowdiak) объявил, что обнаружил способ обхода защиты в JVM мобильных телефонов. По его заявлениям реализация виртуальной машины K Virtual Machine (KVM), которая используется в мобильных телефонах, имеет два дефекта в реализации набора интерфейсов Connected Limited Device Configuration (CLDC), которые позволяют удаленному пользователю читать и модифицировать информацию в памяти телефона, и даже исполнять определенные коды. Адам проверил возможность использования дефектов на своем телефоне Nokia DCT4, но считает, что вполне возможно присутствие тех же дефектов в других телефонах компаний Nokia, Siemens, Panasonic, Samsung, Motorola и других. Он сделал презентацию о найденных ошибках в конференции Hack in the Box, а в первом квартале 2005 года планирует опубликовать более подробную информацию о них.

На OSP не опубликовано

Мои статьи

Отличить своих от чужих
Статья по семинару, который в рамках выставки Sotool провела компания Aladdin.

Безопасность на показ
Совместная с Юлией Кольдичевой статья про первую выставку InfoSeciruty. Она писала про выставку и семинары, а я про стенды - это врезка под названием "В фокусе".

Провайдеры и сервис
Статья про совещание провайдеров в Дубне IntRus 2004. Мне, к сожалению, удалось там побыть только один день.

Ребрэндинг продолжается
Статья по материалам странного пресс-ланча, где CA рассказал о трех практически не связанных между собой событиях.

В Internet Explorer найдено насколько ошибок, которые в совокупности дают возможность исполнить код на уязвимой системе. В частности, обработчик события AnchorClick позволяет имитировать нажатие на иконку определенного файла. Хотя исполнимые файлы при этом не запускаются, но другие приложения все-таки открываются. Однако это ограничение можно обойти, если использовать файлы системы HTML Help, которые могут быть удаленно загружены и содержать определенные сценарии. По утверждению исследователя, опубликовавшего эту информацию, ошибка действует в том числе и в Windows XP SP2 с использованием IE 6.0 SP2. Также свое исследование браузеров провел Михал Залевски, который написал генератор длинных HTML-кодов. Он в основном исследовал браузеры на возможность вызвать их аварию при помощи некорректного HTML. В результате, он нашел несколько возможностей "победить" не только Mozilla и Opera, но даже текстовые браузеры Links и Lynx. С помощью браузера злоумышленники также могут выведать ценную информацию. В частности, исследовательская компания Secunia Research опубликовала отчет, в котором перечислила два способа атаки на пользователя, при которых владелец одного ресурса мог так составить свой сайт, чтобы получать информацию о других просматриваемых пользователем Web-страницах, а в некоторых случаях и модифицировать их. Подвержены этой ошибке браузеры: Mozilla 1.7.3, Firefox 0.10.1, Camino 0.8, Opera 7.54, Konqueror 3.2.2-6, Netscape 7.2, Avant Browser 10.0 и Maxthon (MyIE2) 1.1.039.

Оригинал на OSP: www.osp.ru/news/soft/2004/10/25_01.htm

Компания iDEFENSE объявила об ошибке, которая существует в некоторых антивирусах при обработке zip-архивов. Если нападающий отредактирует архивный файл так, чтобы в его метаданных вложенный файл имел нулевую длину, то он не пройдет проверку на вирусы. Этой ошибке подвержены антивирусы компаний McAfee, Computer Associates, "Лаборатория Касперского", Sophos, Eset и RAV. Исследователи сообщили о найденной ошибке во все антивирусные компании. "Лаборатория Касперского", в частности, уже сообщила, что для старых версий исправления появятся в кумулятивном обновлении, а в новой версии 5.0 исправления появятся в пакете исправлений, появление которого ожидается в октябре.

Оригинал на OSP: www.osp.ru/news/soft/2004/10/21_01.htm

В двух популярных программах архивации обнаружены ошибки, которые позволяют удаленному пользователю изменять файлы в системе жертвы. В частности, в программах unarj и unzoo 4.4 есть возможность создать специальный архивный файл, который создаст или перепишет уже существующий файл. При использовании в имени файла родительской директории '../' можно записать файл в определенное место системы. Аналогичная ошибка найдена в программе Microsoft Cabarc, которая обрабатывает файлы в формате .cab. Эта ошибка, в частности, позволяет записать произвольный исполнимый файл в систему жертвы, чтобы в дальнейшем исполнить его с помощью других ошибок. До исправления этих ошибок не рекомендуется разархивировать файлы в уязвимых форматах, полученные из ненадежных источников.

На OSP не опубликовано

Исследователь, подписавшийся как Джон Биссел, объявил, что нашел несколько ошибок в Windows-библиотеке asycpict.dll 1.0, которые возникают при обработке файлов формата Jpeg. Эти ошибки можно использовать как для исполнения кода, так и для инициации сбоя. Удаленная атака возможна с применением компонентов ActiveX. В качестве примера Биссел привел образец кода для инициации сбоя. Специалист фирмы NGSSoftware Джон Хизман объявил об ошибке, найденной им в компоненте heartbeat.ocx, который используется браузером Internet Explorer при заходе на некоторые игровые сайты MSN. Ошибке присвоен статус опасной, она уже исправлена Microsoft. Еще одна брешь найдена в графической библиотеке LibTIFF, которая используется в Linux и других UNIX-подобных операционных системах. Ошибки, присутствующие в файлах tif_next.c, tif_thunder.c и, возможно, tif_luv.c, позволяют исполнить код, заложенный в файле формата tiff, от имени загрузившего изображение пользователя. Соответствующие исправления для библиотеки выпущены.

Оригинал на OSP: www.osp.ru/news/soft/2004/10/19_03.htm

Мои статьи

Trend предлагает мигрировать
Статья по пресс-конференции Trend Micro, ее дистрибутора "Прикладной логистики" и Cisco, которая прошла в рамках InfoSecurity

Защита по имени
Статья про ситуацию с Sender ID.

Сетевые продажи программ
Статья про форум независимых разработчиков ПО ISDEF.